阿里聚安全一周一讯第26期出炉!本次周讯内容稍做改动,调整了版块结构,希望能给小伙伴们带来更佳的阅读体验。那么一起来看下本周安全圈子出现了哪些资讯信息吧~
【一、业内安全资讯】
* 史上最大 DDoS 攻击曝光,没想到还有这么多人拿“12345”当密码
DDoS 是黑客使用僵尸网络进行攻击的最原始形式。僵尸网络是黑客掌控的计算机网络。DDoS 通过使用户不小心下载一些软件来进行攻击,尤其是通过点击邮件中的链接或者是同意下载破损文件。然后这些僵尸网络会同时向服务器发送大量简单的信息查询用语,使服务器不堪重负直至关闭。
据透露, Mirai 僵尸网络——最近涉及计算机攻击的两大网络之一——使用了 61 个用户名和密码的组合来强行入侵全球数千台设备。看一下来自僵尸网络源代码的密码形式:“pssword”,“1234”,“admin”及“guest”……是不是有一种似曾相识的感觉?在互联设备中,从路由器到数码摄影机等家用设备,都广泛使用默认密码——这些默认密码也是最容易遭到 DDoS 攻击的对象。(via 雷锋网)
http://www.leiphone.com/news/201610/0hM0IULyfY8zYycd.html
* 知名社工库网站Leakedsource自己也被黑!
近些年来各大企业和网络站点的数据泄露事件不断频发,而专注于披露泄漏数据的网站Leakedsource.com如今也遭到了攻击。这一事件不仅曝光了该网站某些不可告人的秘密,而且也使得该网站成为了近期安全行业内备受瞩目的焦点。据了解,由于Leakedsource.com的网站系统缺乏足够有效的安全保护机制,导致该网站的两个服务器发生了数据泄漏。
大家一定听说过Leakedsource吧?如果没有的话,我建议大家搜索一下这个网站,你一定可以找到关于该网站的很多信息。简而言之,它就是一个Web服务器,我们可以通过服务器提供的API接口来搜索数据库内容。该网站所能提供的数据量非常的惊人,他们声称自己有两百万个数据库,并拥有超过22.9亿条数据记录,而且数据量仍在不断增加,但谁知道这是不是真的呢?他们也许真的有这么多数据库,但事实的真相还是要靠我们自己去发现,于是便有了这个故事……(via 安全客)
http://bobao.360.cn/news/detail/3636.html
* 每16台Android手机中,就有一台受BadKernel漏洞的影响
根据国外媒体的最新报道,安全研究专家在Google的V8 JavaScript引擎中发现了一个安全漏洞(BadKernel),该漏洞将会间接影响到Android智能手机的安全性。据估算,每十六台Android手机中,就会有一台受到BadKernel漏洞的影响。不仅如此,目前大部分热门手机中都存在这个漏洞,例如LG、三星、摩托罗拉和华为等。尽管这个漏洞在一年多以前就已经被曝光了,但是在2016年的8月份,中国的安全研究专家们发现,如果运行了Android操作系统的设备部署了旧版本的V8引擎,那么这些设备的安全性仍然会受到该漏洞的影响。(via Freebuf)
http://www.freebuf.com/articles/terminal/115933.html
* 某以色列公司宣称破解了WhatsApp加密通信
WhatsApp在很多人眼里面都是非常安全的一款社交软件。WhatsApp采用点对点加密,这种加密方式可以杜绝中间人攻击。就在今年八月份,WhatsApp还增加了自己的加密协议,以此来预防黑客攻击。看似攻不可破的WhatsApp在很多国家也引起了相关诉讼。巴西政府前不久就逮捕了WhatsApp在巴西的相关负责人,原因是因为WhatsApp不与巴西政府共享用户数据 。
然而来自福布斯杂志的消息,最近WhatsApp的安全性却被以色列的一家监控公司狠狠地“打脸”。Wintego公司最近开发出一款新设备,根据其宣传手册所描述,这个设备可以监听附近WhatsApp的全部交流数据,并且对其进行解密。(via FreeBuf)
https://jaq.alibaba.com/community/art/show?articleid=546
* 国内CA机构沃通错误颁发GitHub域名SSL证书
传统的电子证书管理系统其实是互联网上最薄弱的一环,用户们盲目相信全球的CA机构能够保护他们的机密和个人信息的完整性。但是,这些证书机构能够为任何你所拥有的域名颁发合法的SSL证书,也不会管你有没有在其他的证书机构购买过。这是CA系统中最大的漏洞。而最近的这起事件中,沃通在没有审核域名归属的情况下,就为某申请者颁发了一张SSL证书。
沃通(WoSign) 是一家国内的证书签发机构,公司自称是中国最大的国产品牌数字证书颁发机构,中国市场占有率超过70%,拥有全球信任的顶级根证书。据悉,奇虎360拥有沃通的根证书,目前Google和火狐开始调查奇虎360。(via thehackernews)
https://jaq.alibaba.com/community/art/show?articleid=544
* GitHub 发布 2016 年开源报告,代号章鱼猫
GitHub 又发布了一年一度的章鱼猫观察报告。在这个报告中,分别对开源和社区做了一些有趣的统计,现将其中一些有趣的数据和趋势撷取出来分享给大家。(via Github)
https://jaq.alibaba.com/community/art/show?articleid=551
【二、Android安全】
* Android安全开发之安全使用HTTPS
HTTP协议是没有加密的明文传输协议,如果APP采用HTTP传输数据,则会泄露传输内容,可能被中间人劫持,修改传输的内容。为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。但是如果HTTPS使用不当,就很难起到应有的保护效果。(via 阿里聚安全)
https://jaq.alibaba.com/community/art/show?articleid=545
* Android系统新权限模型剖析与预警
前不久Google发布了新的系统版本Android 7.0。在之前发布的6.0版本中,引入了一种新的权限模型。新权限模型在旧模型基础上加入了运行时动态权限检查,权限不再是安装时一次性全部授予,而是运行时动态申请与授予,如果开发者未按要求动态申请权限或者权限申请未被用户许可,应用程序的相应行为将无法实施;同时,用户可以在应用程序权限管理中随时撤销掉已授予的权限。这样的动态权限模型让用户对应用程序运行时权限拥有更强的可视性与控制性,赋予了用户更多权限管理主动权,增强了权限模型的安全性。(via 360烽火实验室)
http://blogs.360.cn/360mobile/2016/10/11/android_new_permission_model/
* Android 发布 10 月份漏洞公告(via Google)
http://source.android.com/security/bulletin/2016-10-01.html
* Android 10 月公布的漏洞 PoC
漏洞包含PoC: CVE-2016-3901、CVE-2016-3935、CVE-2016-3940、CVE-2016-6672、cve-2016-6690。(via Github)
https://github.com/jiayy/android_vuln_poc-exp
【三、iOS安全】
* 雅虎邮箱 iOS 应用漏洞:修改密码未撤销原登陆证书致账户被窃
在iOS系统下的雅虎邮箱APP发现了一个密码锁定漏洞,用户在未撤销原登陆证书的情况下修改密码,账号还是会被盗窃。趋势科技表示:“经过调查,雅虎已经向设备发出了永久的证书。 “此证书不会过期,并且在密码更改时不会撤销。(via softpedia)
* 在非越狱的情况下实现 iOS 插桩
本文介绍了在没有越狱设备的情况下检测iOS应用程序的过程。 由于在最新版本的iOS中没有越狱,并且需要在最新版本的iOS上测试应用程序,因此有必要找到在非越狱环境中评估iOS应用程序的方法。 在这篇文章中,我们将展示我们需要遵循的步骤来配置我们的环境,重新签名IPA文件,以便在部署之后访问应用程序的信息,并且或修改机器的二进制跟踪功能。(via Nccgroup)
https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2016/october/ios-instrumentation-without-jailbreak/
* needle:IOS安全测试框架
评估iOS应用程序的安全性通常需要大量工具,每个工具都针对特定需求而开发,并且具有不同的操作模式和语法。 Android生态系统有一些工具,如“drozer”,已经解决了这个问题,旨在成为一个“一站式”的大多数用例,但iOS没有。
Needle是一个开源的模块化框架,旨在简化对iOS应用程序进行安全评估的整个过程。他不仅对安全专业人员有用,而且对于寻求保护他们的代码的开发人员也是有用的。 Needle测试领域的几个例子包括:数据存储,进程间通信,网络通信,静态代码分析,hooking和二进制保护。为了有效地运行Needle,唯一的要求是越狱设备。(via Github)
https://github.com/mwrlabs/needle
* iOS 10.0.2 版本中所有 iPhone 型号的内核基地址(via Cert)
https://insights.sei.cmu.edu/cert/2016/10/announcing-cert-basic-fuzzing-framework-bff-28.html
【四、移动安全工具】
* 在IOS和android设备上查看wifi连接密码的工具
找到WIFI密码总是一项繁琐的任务。在PC /笔记本电脑上是非常简单的一件事。但是当涉及到移动设备,事情变得有点复杂。当您在紧急情况下,可能会没有记住Wi-Fi密码,在这种情况下,如何在Android或iOS设备上找到Wi-Fi密码,以便在其他设备上使用它?(via Digitalmunition)
* 最新出炉的HTTP中间人攻击工具,渗透测试软件开发必备
mitmproxy是一个支持TLS的交互式HTTP代理,用于渗透测试人员和软件开发人员
它是一个控制台工具,允许交互式检查和修改HTTP流量。 它与mitmdump不同之处在于所有流都保存在内存中,这意味着它用于获取和处理小样本。(via Darknet)
http://www.darknet.org.uk/2016/10/mitmproxy-intercepting-http-proxy-tool-aka-mitm/
* 你知道你的Mac摄像头正在偷窥你吗?这款工具或许能帮你
你会用胶布贴住你的摄像头吗?如果你不想被人偷看,用胶带贴住摄像头还是很有必要的。因为你并不知道,在你和亲朋好友或者生意伙伴进行网络视频或者机密通话时,摄像头是否被其他恶意程序窥探。事实上,在你进行通话或者视频时,一些精心设计的恶意程序就会启动,捕获你的对话或视频内容,给你造成不可估量的损失。
不过现在问题迎刃而解了。前NSA黑客Patrick Wardle为Mac电脑打造出了一款新工具,专门用来监测Mac电脑的摄像头和麦克风。一旦任何应用试图启动网络摄像头和麦克风,它都会发出警告。(via freebuf)
http://www.freebuf.com/sectool/116051.html
【五、安全漏洞】
阿里聚安全本周共发现14个安全漏洞,包含7个高危漏洞。漏洞增量同比上周大幅度上升,主要分布在系统漏洞、智能设备、通信、客户端。
* Android Qualcomm GPS/GNSS中间人漏洞
安卓版QQ浏览器,QQ热点等应用程序在本地wifi开始时,监听本地8786端口,且监听本地所有ip地址。当攻击方和被攻击方处于同一局域网环境时,通过该接口,可在局域网内运行QQ浏览器,QQ热点的设备中上传数据、启动应用安装等。当这些应用拥有root权限时,可静默安装移动应用。(via seebug)
https://packetstormsecurity.com/files/139033/Android-Qualcomm-GPS-GNSS-Man-In-The-Middle.html
* QQ浏览器(Wormable Browser) 漏洞
Android在连接到网络时会自动下载XTRA数据文件,然后将文件传递到C++/JNI类中,最后将其注入Qualcomm调制解调器。由于Java和C++代码都没有检查文件大小,因此如果文件大小超过设备可用内存时,就会导致内存耗尽、设备停止运行并软重启。(via packetstorm)
https://www.seebug.org/vuldb/ssvid-92441
* 三星Knox漏洞导致黑客可以完全控制你的手机
以色列研究人员在Samsung Knox发现了三个漏洞,目前三星已经修补,但旧设备可能仍然有风险。(via Wired)
http://www.wired.co.uk/article/samsung-knox-security-vulnerabilities
【六、安全活动峰会】
* 2016杭州·云栖大会开幕,阿里聚安全专场议题和嘉宾介绍
2016杭州·云栖大会将在10月13日-16日,在杭州云栖小镇国际会议中心隆重举办为期4天的云计算狂欢盛宴。大会主题精彩丰富,聚焦探讨云计算、大数据、人工智能、互联网安全、智慧生活、物联网、企业服务等前沿科技与热门话题。各路互联网精英与行业大咖蜂拥齐聚,共同见证这场无与伦比的互联网盛会,一起感受前沿科技成果的精彩!
云和互联网(尤其是移动)业务快速成长,面临边界延伸、场景越来越复杂的状况,安全遭遇巨大挑战,如何在业务发展与安全建设中寻求平衡?云栖大会15日(周六)晚18:00-20:30,聚安全分论坛将聚焦于云上业务的安全问题,分享移动、风控等方面的安全实践。(via 阿里聚安全)
https://jaq.alibaba.com/community/art/show?articleid=549
* 2016BlackHat欧洲黑帽大会上的五大安全议题
2016BlackHat欧洲黑帽大会11月1日在伦敦举行。研究人员提出新的发现和见解,主题包括关键基础设施和物联网(IoT)安全; 人为安全因素; 涉及多个平台操作系统和设备的漏洞等等。一共10个热门话题,不容错过(via Dark Reading)
